chkrootkit은 "tcpd"를 INFECTED로 표시합니다. 거짓 긍정입니까?

chkrootkit으로 스캔하면 "tcpd"가 INFECTED로 표시됩니다. rkhunter의 스캔 결과가 정상적으로 표시되지만 (정규 오 탐지 제외)

걱정 할까? (나는 4.8.0-37-generic으로 우분투 16.10에 있습니다)

에서 이 우분투 포럼 게시물 , 사용자 kpatz 신선한 16.10 VM에서이 테스트 chkrootkit은 여전히이에게 거짓 양성을, 불평했다. 패키지에서 md5sum을 비교하여 파일이 변조되었는지 항상 확인할 수 있습니다.

$ dpkg -S /usr/sbin/tcpd
tcpd: /usr/sbin/tcpd
$ (cd /; md5sum -c /var/lib/dpkg/info/tcpd.md5sums)
usr/sbin/safe_finger: OK
usr/sbin/tcpd: OK
usr/sbin/tcpdchk: OK
usr/sbin/tcpdmatch: OK
usr/sbin/try-from: OK
usr/share/man/man8/safe_finger.8.gz: OK
usr/share/man/man8/tcpd.8.gz: OK
usr/share/man/man8/tcpdchk.8.gz: OK
usr/share/man/man8/tcpdmatch.8.gz: OK
usr/share/man/man8/try-from.8.gz: OK

물론, md5sums 파일 자체가 훼손되었을 수 md5sum있습니다 (및 그 자체도 마찬가지입니다).

이것은 기본 chkrootkit 스크립트의 버그로 인한 오 탐지입니다. 여기에 수정 프로그램을 게시하려고했지만 다운 보트되었습니다. chkrootkit 개발자에게 문제를보고했지만 실제로 문제가 해결되도록 문제를 해결하려면 https://www.linuxquestions.org/questions/linux-security-4/ 를 확인 하십시오. chkrootkit-tcpd-521683 / page2.html # post5788733

광산은 또한 "INFECTED"(우분투 18.10)로 표시되었습니다 ... 그래서 debsums 유틸리티를 사용하여 tcpd를 확인했습니다.

sudo debsums | grep tcpd

"확인"으로 표시되었습니다.

virustotal과 같은 테스트를 위해 사이트에 업로드 할 수 있으며 BitDefender에는 1 분의 루트킷 스캐너 프로그램이 있습니다 (다중 OS 지원이 확실하지 않음).

루트킷이있는 경우 루트 액세스 권한이있는 악성 프로그램이 자신을 숨길 수 있다는 점을 고려하여 위에 게시 된 견고한 문서가 없으면 위양성인지 알 수있는 방법이 없습니다. 우려되는 것처럼 보이거나 CAPS LOCKS 구문을 따르고 있지만 앞으로는 데이터베이스와 같은 필수 파일 (클라우드 또는 외부 감염을 통해주의를 기울여야하는 외부 파일을 통해)을 보관하고 백업하는 것이 좋습니다. , 가족 사진, 직장, 불미스러운 동영상 등

중요한 정크에 대한 불일치가 있는지 md5 합계를 확인하십시오. 루트 액세스 권한이나 배포판 자체에 부여 할 수있는 것은 대부분입니다. 그리고 새로 설치를 실행 중이거나 설치를 신경 쓰지 않는다면 항상 다시 한 번 닦아서 확인할 수 있습니다.

빠른 편집 : BitDefender 는 실제로 Windows 이외의 다른 기능을 지원하지 않습니다. 사이드 노트, 모든 안티 바이러스 프로그램은 귀하와 귀하의 인터넷 사용을 데이터화합니다. 오픈 소스 ftw.

루트킷의 교활한 특성 과 이들이 얼마나 쉽게 전파되는지 에 대한 tl; dr .